L’FBI ha recentemente compiuto un’importante operazione contro l’operazione di ransomware ALPHV/BlackCat, sequestrando i siti web associati e creando un decryptor per aiutare circa 500 aziende a recuperare i loro dati gratuitamente. Questa azione è stata rivelata attraverso un mandato di perquisizione dell’FBI non sigillato.
Dettagli dell’Operazione
Secondo il mandato di perquisizione, l’FBI ha collaborato con una fonte umana confidenziale (CHS) per iscriversi e diventare un affiliato dell’operazione di ransomware ALPHV/BlackCat. Dopo essere stato intervistato dagli operatori del ransomware, al CHS sono state fornite le credenziali di accesso al pannello di controllo degli affiliati, che permetteva di gestire campagne di estorsione e negoziare riscatti con le aziende.
Utilizzando questo accesso, l’FBI ha ottenuto le chiavi di decrittazione private utilizzate negli attacchi e ha creato un decryptor che ha aiutato oltre 400 vittime a recuperare i loro file gratuitamente. Tuttavia, non è chiaro come l’FBI abbia ottenuto queste chiavi private di decrittazione, poiché non sarebbero state disponibili a un affiliato.
Sequestro dei Siti Web e delle Chiavi Tor
L’FBI afferma di aver ottenuto 946 coppie di chiavi pubbliche e private associate ai siti di negoziazione Tor dell’operazione di ransomware, ai siti di divulgazione dei dati e al pannello di gestione, salvandole su una chiavetta USB ora conservata in Florida. Possedendo queste chiavi private e pubbliche, l’FBI ha potuto dirottare questi URL in modo che puntassero ai propri server.
Avvisi di Sicurezza da CISA e FBI
Oggi, CISA e l’FBI hanno rilasciato un avviso congiunto di sicurezza informatica, #StopRansomware: ALPHV Blackcat, per divulgare le tattiche, le tecniche e le procedure (TTP) e gli indicatori di compromissione (IOC) noti degli affiliati di ALPHV Blackcat, identificati attraverso indagini dell’FBI fino al 6 dicembre 2023. L’avviso fornisce anche aggiornamenti sugli indicatori di compromissione del ransomware BlackCat/ALPHV rilasciati il 19 aprile 2022.
Impatto e Consigli per le Organizzazioni
Gli affiliati di ALPHV Blackcat hanno reti estese e esperienza con operazioni di ransomware e estorsione di dati. Le indagini dell’FBI, a settembre 2023, stimano il numero di entità compromesse in oltre 1000, più della metà delle quali negli Stati Uniti e circa 250 al di fuori degli Stati Uniti. CISA e l’FBI incoraggiano le organizzazioni di infrastrutture critiche a rivedere e implementare le mitigazioni fornite nel CSA congiunto per ridurre la probabilità e l’impatto degli incidenti di ransomware e estorsione di dati ALPHV Blackcat.
Questa operazione dell’FBI segna un importante passo avanti nella lotta contro le operazioni di ransomware e sottolinea l’importanza per le organizzazioni di rimanere vigili e implementare misure di sicurezza adeguate.